ISO 27001 và ISO 27002 là hai trong số các tiêu chuẩn phổ biến nhất về quản lý bảo mật thông tin hiện nay. Các tiêu chuẩn này cung cấp một khuôn khổ toàn diện cho các tổ chức muốn bảo vệ dữ liệu của mình thông qua các chính sách mạnh mẽ và các biện pháp thực hành tốt nhất.
Ban đầu được phát triển bởi Tổ chức Tiêu chuẩn hóa Quốc tế (ISO ), các tiêu chuẩn này đặt ra các nguyên tắc và thông lệ đảm bảo các tổ chức thực hiện các biện pháp thích hợp để bảo vệ dữ liệu của họ. Từ quản lý tài sản và kiểm soát truy cập đến phản hồi sự cố và tính liên tục của doanh nghiệp, các tiêu chuẩn này cung cấp các hướng dẫn chi tiết để giúp các tổ chức bảo mật mạng của họ.
ISO 27001 là tiêu chuẩn quốc tế cung cấp phương pháp tiếp cận có hệ thống đối với việc đánh giá rủi ro, lựa chọn kiểm soát và triển khai. Tiêu chuẩn này bao gồm các yêu cầu để thiết lập Hệ thống quản lý an ninh thông tin (ISMS).
ISO 27002 là một bộ quy tắc thực hành phác thảo các biện pháp kiểm soát bảo mật cụ thể và chi tiết hơn. Khi được triển khai cùng nhau, hai tiêu chuẩn này cung cấp cho các tổ chức một phương pháp tiếp cận toàn diện đối với quản lý bảo mật thông tin.
Tiêu chuẩn này bao gồm các lĩnh vực như trách nhiệm giữa nhà cung cấp dịch vụ đám mây và khách hàng của họ, chính sách bảo mật, bảo mật nguồn nhân lực, quản lý tài sản, kiểm soát truy cập, mật mã, bảo mật vật lý và môi trường, và tuân thủ trong số những thứ khác. Tiêu chuẩn này nhằm mục đích giúp cả hai bên hiểu và triển khai các biện pháp bảo mật hiệu quả dành riêng cho đám mây. Hướng dẫn này đặc biệt hữu ích trong bối cảnh của họ tiêu chuẩn ISO/IEC 27000 rộng hơn, hỗ trợ việc thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý bảo mật thông tin (ISMS).
Tiêu chuẩn này thiết lập các hướng dẫn và cung cấp các biện pháp cho các nhà cung cấp dịch vụ điện toán đám mây công cộng để bảo vệ thông tin nhận dạng cá nhân (PII) theo các nguyên tắc về quyền riêng tư như sự đồng ý, giảm thiểu dữ liệu, hạn chế mục đích và chất lượng và tính liên quan của dữ liệu. Tiêu chuẩn này cũng giải quyết các yêu cầu về tính minh bạch và cung cấp hướng dẫn thực tế về cách xử lý dữ liệu cá nhân trên đám mây tôn trọng quyền riêng tư của cá nhân.
ISO 27701 là tiêu chuẩn quốc tế tập trung vào quản lý thông tin riêng tư. Tiêu chuẩn này mở rộng các khuôn khổ ISO 27001 và ISO 27002 để quản lý bảo mật thông tin bằng cách thêm các yêu cầu cụ thể mà các tổ chức phải đáp ứng để quản lý rủi ro riêng tư liên quan đến việc xử lý thông tin cá nhân. ISO 27701 giúp các tổ chức thiết lập, triển khai, duy trì và liên tục cải thiện Hệ thống quản lý thông tin riêng tư (PIMS).
Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) là một cơ quan chính phủ chịu trách nhiệm thúc đẩy các tiêu chuẩn công nghệ và bảo mật tại Hoa Kỳ. Khung An ninh mạng của NIST cung cấp các hướng dẫn cho các tổ chức để xác định, bảo vệ, phát hiện, ứng phó và phục hồi sau các cuộc tấn công mạng. Khung này được tạo ra vào năm 2014 như một hướng dẫn cho các cơ quan liên bang, nhưng các nguyên tắc áp dụng cho hầu hết mọi tổ chức muốn xây dựng một môi trường kỹ thuật số an toàn.
Hiện đang ở phiên bản thứ hai , khuôn khổ của NIST là một bộ toàn diện các biện pháp thực hành tốt nhất dành cho các tổ chức muốn cải thiện tình trạng bảo mật của mình. Nó bao gồm hướng dẫn chi tiết về quản lý rủi ro, quản lý tài sản, kiểm soát danh tính và truy cập, lập kế hoạch ứng phó sự cố, quản lý chuỗi cung ứng, v.v.
Được phát triển bởi Hiệp hội Kiểm toán và Kiểm soát Hệ thống Thông tin (ISACA) , Mục tiêu Kiểm soát cho Công nghệ Thông tin và Liên quan (COBIT) là một khuôn khổ toàn diện được thiết kế để giúp các tổ chức quản lý tài nguyên CNTT của mình hiệu quả hơn. Khuôn khổ này cung cấp các thông lệ tốt nhất cho quản trị, quản lý rủi ro và bảo mật.
Khung COBIT được chia thành năm danh mục: Lập kế hoạch & Tổ chức, Thu thập & Triển khai, Cung cấp & Hỗ trợ, Giám sát & Đánh giá và Quản lý & Đánh giá. Mỗi danh mục chứa các quy trình và hoạt động cụ thể để giúp các tổ chức quản lý hiệu quả các nguồn lực CNTT của mình.
COBIT cũng bao gồm các hướng dẫn chi tiết về bảo mật và bảo vệ dữ liệu, bao gồm kiểm soát truy cập, xác thực người dùng, mã hóa, ghi nhật ký kiểm toán và các lĩnh vực ứng phó sự cố. Các hướng dẫn này cung cấp cho các tổ chức một bộ biện pháp toàn diện có thể được sử dụng để bảo vệ hệ thống của họ khỏi các mối đe dọa mạng.
Quy định bảo vệ dữ liệu chung (GDPR) được thông qua vào năm 2016 để tăng cường các thủ tục và hoạt động bảo vệ dữ liệu cho công dân Liên minh châu Âu (EU). GDPR tác động đến tất cả các tổ chức được thành lập tại EU hoặc bất kỳ doanh nghiệp nào thu thập và lưu trữ dữ liệu riêng tư của công dân EU — bao gồm cả các doanh nghiệp Hoa Kỳ.
Khung này bao gồm 99 điều khoản liên quan đến trách nhiệm tuân thủ của công ty, bao gồm quyền truy cập dữ liệu của người tiêu dùng, chính sách và quy trình bảo vệ dữ liệu, yêu cầu thông báo vi phạm dữ liệu (các công ty phải thông báo cho cơ quan quản lý quốc gia trong vòng 72 giờ kể từ khi phát hiện vi phạm) và nhiều nội dung khác.
Mức phạt cho hành vi không tuân thủ rất cao; lên tới 20.000.000 euro hoặc 4% doanh thu toàn cầu, và EU không ngần ngại thực thi mức phạt này.